Recomendações para estruturar projetos com segurança em seu pipeline
Azure DevOps Services | Azure DevOps Server 2022 | Azure DevOps Server 2020
Além da escala de recursos individuais, você também deve considerar grupos de recursos. No Azure DevOps, os recursos são agrupados por projetos de equipe. É importante entender quais recursos seu pipeline pode acessar com base nas configurações e na contenção do projeto.
Cada trabalho em seu pipeline recebe um token de acesso. Esse token tem permissões para ler recursos abertos. Em alguns casos, os pipelines também podem atualizar esses recursos. Em outras palavras, sua conta de usuário pode não ter acesso a um determinado recurso, mas scripts e tarefas executados em seu pipeline podem ter acesso a esse recurso. O modelo de segurança no Azure DevOps também permite o acesso a esses recursos de outros projetos na organização. Se você optar por desligar o acesso de pipeline a alguns desses recursos, sua decisão se aplicará a todos os pipelines em um projeto. Um pipeline específico não pode receber acesso a um recurso aberto.
Separar projetos
Dada a natureza dos recursos abertos, você deve considerar o gerenciamento de cada produto e equipe em um projeto separado. Essa prática garante que um pipeline de um produto não possa acessar recursos abertos de outro produto. Dessa forma, você evita a exposição lateral. Quando várias equipes ou produtos compartilham um projeto, você não pode isolar granularmente seus recursos uns dos outros.
Se sua organização do Azure DevOps tiver sido criada antes de agosto de 2019, as execuções poderão acessar recursos abertos em todos os projetos da sua organização. O administrador da sua organização deve examinar uma configuração de segurança chave no Azure Pipelines que habilita o isolamento de projeto para pipelines. Você pode encontrar essa configuração emAzure DevOps>Configurações da organização>Pipelines>.Configurações. Ou vá diretamente para este local do Azure DevOps: https://dev.azure.com/ORG-NAME/_settings/pipelinessettings.
Próximas etapas
Depois de configurar a estrutura de projeto certa, aprimore a segurança do runtime usando modelos.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de